Web Sitenizin Güvenli Olması İçin

        Sitelerimize emek  verip yapıyoruz yada orada yazılarımızı paylaşıp kendimize özel bilgileri herkesle yada istediğim kişilerle paylaşıyoruz.Peki bir gün geldi hacklendi. Belki siz benim sitemi kim hackleyecek yada benim sitem güvenlidir diye bilirsiniz ama bu yazıları okumadan karar vermeyin.

            Neyse bu yazımı çok uzatmadan başlıyayım;

Hosting Güvenliği:

   Arkadaşlar hosting güvenliğinizi sağlamanız için her yerde duyduğunuz herkesin dediği gibi karışık bir şifre olsun öle basit şifreler kullanmayın. Ama sadece şifre yetmez  bide sadece ama sadece güvenilir ve güvenliği üst seviyede bulunan hosting yerlerini seçin aslında güvenlik derken kendini sık sık güncelliyen yerleri

Domain Güvenliği:

    Domain nedir? Bunu biliyorsunuzdur ama yinede sölliyim alan adı demek yani .com .net

Örnek:http://www.siteismi.com

     Hostingte dediğimiz gibi kazırışık basit olmayan sizi en iyi tanıyan kişinin bilmediği şifreleri yazın. Yani sizi en iyi tanıyan derken annenizin adını- Nerde doğduğunuzu-doğum tarihinizi  yazmayın.Yine hosting yeriniz güvenilir olsun çünkü bazı hosting satan yerler domainlerinizi alabiliyor.Domain güvenliği önemlidir çünkü domain hacklendiği zaman bidaha alması çok zordur hatta imkansızdır bunun tek yolu fatura almanız bu sayede domainin size ait olduğu anlaşılır. Ve domain aldığınız yere  asla kullandığınız e-mail adresini vermeyin domaininize whois çekerek e-mail ve hostig aldığınız yeri bulur ve ilk önce e-mail adresinizi hackler.

Programlamada-Kodlamada Güvenlik

Hazır portallar:

Web sitenizde hazir portal veya forum kullaniyorsaniz surekli olarak kullandiginiz portalin/forumun sitesini ziyaret edin ve guncellemeleri elinizden geldigince yapmaya calişin. cunku genelde bir cok versiyonda sitenizin ele gecirilmesini saglayacak aciklar mevcuttur. Bunlarin yamalarini ve aciklari yazilimin kendi sitesinden ogrenebilirsiniz.

 Kendi yazdığınız sitelerde yada scrıptler de güvenlik

     Hazır yapılan siteleri scrıptleri kullanmak istemedizin ve kendim yazacam diyip kolları sıvadınız. Ve yazdınız ama ve bakıyosunuz düzgünce çalışıyor. Ama bir kaç kod eksik olabilir buda hackerların işine yarar ve bu açıklardan sitenizi hackleye bilir. Yada siz her şeyi doğru yaptınız ama yinede hackleniyor bunlar içinde koruma yöntemleri var bunları ayrı başıklarda toplayalım

Üye Giriş Paneli:

  Login palenile bazı kodlar yazarak bazı hacker yöntemleri kullana bilir. Mesela neler yapar db yolunuzu öğrenir. Bu sayede bütün bilgilere ulaşır üyelerin şifrelerini alabilir. Genelde ?or 1=1 tarzinda kodlamalari bu panellerde deneyerek SQL injection yapmaya calişirlar. o yuzden bu tur kodlari kabul etmeyen ayiklan bir sistem yazmalisiniz.

Haber-Yorum:

   Haber ve yorum yazmaya izin veren sitelerde bazı html  kodalrı kullanılarak istedikleri sitelere yönlendire bilirler. Bu yüzden ziyaretcilerinizin yorum ve haber yazmaya izin vermek istediğiniz zaman mutlaka html kodlarının yazılışını yasaklayın. E ğer bunu yapamazsanız en azından onaylama kullanın bu sayede yoruma yada habere bkınca site başka yere yönenirse silin.

Database Guvenligi:

Databaseziniz mutlaka şifre korumali olsun. Eger access veritabani kullaniyorsaniz. Veritabaninizi hostinginizde bulunan db klasoru icine koyun. Bu klasorden databasezinizi indiremezler. Hazir kullandiginiz ******lerdeki dblerin adlarini ve yollarini mutlaka degiştirn. Bu saldirganin db yolunuzu ogrenmesini ve sizmasini engeller.

Bunları yaparsanız en azından her hacker hackleyemez sitenizi ama sadece %90 garanti verebilirim ama zaten bu %90 çok yüksek çünkü %10 acığı bulacak çok az hacker vardır.

Genel Server Guvenligi


%100 server guvenligini saglamanin tek yolu o serverin fi$inden gecmektedir. En guvenli server fi$i cekik serverdir.
Bunun di$indaki tum methotlar sadece server guvenligini arttirmak icindir. A$agida server guvenligi ile ilgili verilmi$
bilgiler genel bilgiler olup kullaniciya gore degi$ebilmektedir.
vi, pico vb editorler kullanilarak a$agidaki satirlar /etc/sysctl.conf icine eklenmelidir

# disable packet forwarding net.ipv4.ip_forward = 0 # enable source route verification
net.ipv4.conf.all.rp_filter = 1 # ignore broadcast pings
net.ipv4.icmp_echo_ignore_broadcasts = 1 # enable syn cookies
net.ipv4.tcp_syncookies = 1 # size of syn backlog
net.ipv4.tcp_max_syn_backlog = 512 # disable automatic defragmentation #
set max files fs.file-max = 32768 # Enable IP spoofing protection, turn on
Source Address Verification net.ipv4.conf.all.rp_filter = 1
# Enable TCP SYN Cookie Protection net.ipv4.tcp_syncookies = 1
# Enable ignoring ping request net.ipv4.icmp_echo_ignore_all = 1


Bu ne yapar?
Bu kodlar linux i$letim sisteminin kendisi tarafindan kullanilmaktadir. Bu kodlar sisteme ping, icmp, isteklerini
redetmesini ve SYN korumasini devreye alinmasini, network forwarding in engellenmesini saglar. Ancak bu degi$iklik
yapildiktan sonra server reboot edilmelidir.

/etc/rc.local, icine a$agidaki kod eklenmelidir

for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > done
echo 1 > /proc/sys/net/ipv4/tcp_syncookies for f in /proc/sys/net/ipv4/conf/*/accept_source_route;
do echo 0 > done echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

Bu kisim bir onceki kisimla aynidir ve bu isteklerin rededilmesi i$lemini tekrar, ba$ka bir guvenlik katmanidir.

/etc/host.conf, icine a$agidaki kodlar eklenmelidir , tabi icinde yoksa

# Lookup names via DNS first then fall back to /etc/hosts.
order bind,hosts
# We have machines with multiple IP addresses.
multi on
# Check for IP address spoofing.
nospoof on


/etc/hosts.deny icine a$agidaki kod eklenmelidir

ALL: PARANoID

Burada bir onceki i$lemde yapilan spoofing korumasini arttirilmasi saglanir.
Firewall linux server icin en onemli ihtiyactir. Firewall olmaksizin linux server tamami ile tehlike altindadir
denilebilir , firewall ile server guvenlik altindadir ve korunabilir diyebiliriz ancak unutlmamalidir ki hic bir
firewall %100 guvenlik saglamaz.
Kernel bilgilerini aramali ve bulmalisniz. Hatta ki$isel kernel derlemeside yapabilirsiniz, (eger linuxde cok iyi
bir kullanici degilseniz kesinlikle bu i$lem onerilmez) veya RPM kullanabilrsiniz
Kernel derlemesi local olmayan makinalarda kesinlikle onerilmeyen bir işlemdir. Sebebi ise , eger bir şeyler ters
giderse sizin power dugmesine basip kapatacak $ansiniz olmayacak ve tek kullanici modunda serveri ba$latamayaaksiniz.
Data Center i beklemeli bir destek isteginde bulunmali ve onlarin yanit vermesini beklemek zorunda kalacaksiniz.
Buda hem buyuk zaman kaybi, hem oldukca yavaş hem de cok maliyetli bir işlemdir.
Diger uygulamalar yapilan konfigurasyon degişiklikleri sistem aşiri yukunu vb sorunlari engelleyecektir.
ornek
proftpd:
/etc/proftpd.conf, icine aşagidaki kod eklenebilir

TimeoutIdle 600 TimeoutNoTransfer 600 TimeoutLogin 300 MaxInstances 30 MaxClientsPerHost 2

mysql icin:
/etc/my.cnf

[mysqld] port = 3306 skip-locking
set-variable = max_connections=100
set-variable = max_user_connections=20
set-variable = key_buffer=16M
set-variable = join_buffer=4M
set-variable = record_buffer=4M
set-variable = sort_buffer=6M
set-variable = table_cache=1024
set-variable = myisam_sort_buffer_size=32M
set-variable = interactive_timeout=100
set-variable = wait_timeout=100
set-variable = connect_timeout=10
set-variable = thread_cache_size=128


ve son olarak, /etc/rc.local, icine a$agidaki kod eklenebilir.

TMoUT=180 export TMoUT

Bu kisim serverda 3 dk hareketsiz duran herkesle baglantisini kesecektir.Bu rakami degi$tirerek zamani da
degi$tirilebilir, ornek 300 yapildiginda bu 5 dk olacaktir
Guvenligin bir seviye daha artirilmasi icin aşagidaki gibi bir uygulama yapilabilir

ssh eri$imi kisitlamasi
in /etc/hosts.deny

sshd: ALL

in /etc/hosts.allow
Code:
sshd: host.ip.number.1,host.ip.number.2,etc